Die Daten der LayerX-Untersuchung zeichnen ein beunruhigendes Bild: ChatGPT dominiert die unternehmensweite KI-Nutzung mit 36 Prozent der User und über 55 Prozent aller Konversationen – deutlich vor dem Microsoft Copilot M365 mit 29 Prozent Adoption. Während Copilot M365 in unternehmensgebundenen Microsoft-Umgebungen läuft, wo Organisationen größere Kontrolle haben, nutzen Mitarbeiter Dienste wie Gemini, ChatGPT und Claude häufig über persönliche Konten. Dies ist für deutsche Datenschützer ein kritisches Problem: Ohne Sicht auf Datenretention, Modelltraining und Datenschutzrichtlinien entstehen nicht nur Governance-Lücken, sondern auch potenzielle DSGVO-Verstöße.
Die Konzentration von Risiken wird durch ein neues Phänomen verstärft: Fast 30 Prozent der Enterprise-Nutzer verwenden bereits mehrere KI-Plattformen parallel, die Top-5-Prozent sogar sechs oder mehr. Diese fragmentierte KI-Landschaft entsteht nicht in böser Absicht – Mitarbeiter nutzen unterschiedliche Tools für verschiedene Aufgaben und wählen häufig die bequemste Lösung. Doch damit verlieren Sicherheitsteams die Kontrolle. Das BSI hat solche Szenarien als Shadow-AI-Risiko klassifiziert, doch die Realität ist komplexer: KI-Browser-Erweiterungen (bereits bei 15 Prozent der User) mit kritischen Berechtigungen, KI-Konnektoren zu SharePoint, GitHub und Slack, die Systemen direkten Zugriff auf interne Repositories geben – all das operiert außerhalb klassischer Governance-Kontrollen.
Besonders problematisch ist die Identitäts-Fragmentierung: Knapp die Hälfte aller KI-Gespräche erfolgt über persönliche Identitäten, nicht über unternehmenseigene Accounts. Über 14 Prozent der Konversationen mit Unternehmens-Identität sind an private KI-Lizenzen gekoppelt. Für deutsche Datenschutzbeauftragte (BfDI) stellt dies ein erhebliches Kontrolldefizit dar – sensible Daten wie Kundenlisten, Finanzinformationen oder technische Spezifikationen wandern unkontrolliert in externe KI-Ökosysteme.
Die Differenzierung nach Plattformen zeigt auch: Enterprise-Systeme wie Copilot M365 mit 3,65 Prozent sensibler Daten schneiden deutlich besser ab als Consumer-Tools wie DeepSeek (12,63 Prozent) oder ChatGPT (8,38 Prozent). Dies deutet darauf hin, dass nicht die Technologie allein das Problem ist, sondern die Art der Implementierung und Governance.
Deutsche Organisationen müssen handeln: Transparenz über alle KI-Systeme schaffen, Browser-Erweiterungen und KI-Konnektoren inventarisieren, Datenschutzrichtlinien für KI-Nutzung etablieren und insbesondere die Power User identifizieren und schulen. Nur so lassen sich DSGVO-Anforderungen erfüllen und Risiken wirklich reduzieren.